Поделиться
Северокорейские хакеры поставили в 2025 г. рекорд результативности. Украдено криптовалюты на $2,02 млрд
С начала года хакеры, связанные с КНДР, смогли похитить криптовалютных активов на сумму не менее $2,02 млрд. Крупнейшим успехом было ограбление криптобиржи Bybit в начале 2025 г.
Их рекорды
Злоумышленники, связанные с Северной Кореей, сыграли ключевую роль в резком росте краж криптовалюты по всему миру в 2025 г.: с начала года им удалось выкрасть не менее $2,02 миллиарда в криптовалютах. Общий объём криптовалют, «сменивших владельцев» в результате различных краж и мошеннических действий, с января по начало декабря составил $3,4 млрд.
Как пишут исследователи компании Chainalysis, на протяжении этого года кражи криптовалют со стороны КНДР достигли рекордных значений: 76% всех случаев компрометации криптовалютных сервисов приходятся как раз на действия аффилированных с Северной Кореей акторов.
В целом, общий объем украденных КНДР криптовалютных средств за счёт «достижений» в 2025 г. достиг $6,75 млрд.
Взлом криптовалютной биржи Bybit в феврале был самым крупным успехом для КНДР: им тогда удалось выкрасть около $1,5 млрд в криптовалютах. Атаку приписали кластеру угроз под названием TraderTraitor (также известной как Jade Sleet и Slow Pisces).
В начале декабря исследователи компании Hudson Rock выявили инфраструктуру, непосредственно связанную со взломом Bybit, после того, как один из её операторов сам оказался заражён одним из вредоносов, которыми они пользуются, - Lumma Stealer. Ключевой уликой стал адрес электронной почты trevorgreer9312@gmail[.]com, фигурировавший в прежних атаках со стороны APT-группы Lazarus.
TraderTraitor, по всей видимости, является подразделением Lazarus.
С последним также увязали атаку на южнокорейскую криптобиржу Upbit, в результате которой злоумышленникам достались активы на сумму $36 млн.
Поющие Lazarus
Группа Lazarus связана с Главным разведывательным управлением Пхеньяна (ГРУ). По оценкам аналитиков, в период с 2020 по 2023 гг. она похитила не менее $200 миллионов в результате более чем 25 успешных атак на криптовалютные ресурсы. Как легко заметить, аппетиты КНДР в этом отношении растут.
Помимо серийного воровства криптовалют Lazarus и аффилированные с ней акторы активно занимаются внедрением мнимых ИТ-работников в различные компании по всему миру. В некоторых случаях - под видом отдельных лиц, но иногда задействуются и целые подставные компании, как, например, DredSoftLabs и Metamint Studio. Конечной целью является получение привилегированного доступа к криптосервисам, а также выгодных позиций для осуществления мошеннических атак, которые в конечном счёте могут нанести серьёзнейший ущерб репутации компании.
Эта мошенническая схема получила условное название Wagemole.
Украденные тем или иным способом средства переводятся через китайские системы денежных переводов, а также через кроссчейн-мосты, миксеры и специализированные торговые площадки, такие как Huione. Это позволяет более или менее замести следы и легализовать награбленное.
Похищенные активы проходят комплексную процедуру отмывания, который длится на протяжении 45 дней после первоначальных атак. Его можно разделить на три основных этапа.
Это, во-первых, незамедлительное расслаивание (дни 0-5). На этом этапе средства максимально «отдаляются» от источника с помощью криптомиксеров и DeFi-протоколов.
Второй этап - начальная интеграция (дни 6-10). Этот этап включает в себя перевод средств на криптовалютные биржи, сервисы смешивания второго уровня и кроссчейн-мосты, такие как XMRt.
Третий этап отмывания - заключительная интеграция, который проходит в дни 20-45. Этот этап включает использование сервисов, облегчающих окончательную конвертацию в фиатную валюту или другие активы.
«Активное использование услуг профессиональных китайских структур по отмыванию денег, а также внебиржевых (OTC) трейдеров, свидетельствует о тесной интеграции северокорейских кластеров угроз с незаконными субъектами по всему Азиатско-Тихоокеанскому региону. Это согласуется с историческим использованием Пхеньяном базирующихся в Китае сетей для получения доступа к международной финансовой системе», указывается в публикации Chainalisys.
«Активность хакеров из Северной Кореи несёт двоякую угрозу: помимо ущерба, который они наносят напрямую, своим примером они показывают другим кластерам угроз, какие приёмы являются - почти с гарантией - рабочими, - указывает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ».
Пешков отметил, что вполне вероятным сценарием может стать появление имитаторов, которые будут использовать методологию северокорейских хакеров в атаках под ложным флагом.
«Пожар, как говорится, легче предотвратить, чем потушить, и то же касается и кибератак. Исходить следует из того, что при наличии слабых мест в защите ими кто-нибудь непременоо попытается воспользоваться», - добавил эксперт.
Короткая ссылка
